Deoarece Linux este un proiect open source, este greu să găsești defecte de securitate în codul său sursă, deoarece mii de utilizatori continuă activ să verifice și să fixeze același lucru. Datorită acestei abordări proactive, chiar și atunci când este descoperit un defect, acesta este patch-uri imediat. De aceea a fost atât de surprinzător când un anume exploatat a fost descoperit anul trecut, care a scăpat de diligența riguroasă a tuturor utilizatorilor în ultimii 9 ani. Da, ați citit corect, deși exploatarea a fost descoperită în octombrie 2016, aceasta a existat în interiorul codului kernel-ului Linux încă din ultimii 9 ani. Acest tip de vulnerabilitate, care este un tip de bug-uri de escaladare a privilegiilor, este cunoscut sub numele de vulnerabilitate Dirty Cow (număr de catalog al erorilor kernelului Linux - CVE-2016-5195).
Deși această vulnerabilitate a fost patch-uri pentru Linux la o săptămână după descoperirea sa, a lăsat toate dispozitivele Android vulnerabile la acest exploit (Android se bazează pe kernel-ul Linux). Sistemul Android patchat a urmat în decembrie 2016, totuși, datorită naturii fragmentate a ecosistemului Android, există încă multe dispozitive Android care nu au primit actualizarea și rămân vulnerabile la acestea. Ceea ce este mai înspăimântător este că un nou malware Android numit ZNIU a fost descoperit la doar câteva zile în urmă, exploatând vulnerabilitatea Cow Dirty. În acest articol, vom examina în detaliu vulnerabilitatea Dirty Cow și modul în care este abuzată de malware-ul Android de către ZNIU.
Ce este Vulnerabilitatea Vacii murdare?
După cum sa menționat mai sus, vulnerabilitatea Dirty Cow este un tip de exploatare a privilegiilor care poate fi folosit pentru a acorda privilegii super-utilizatorilor oricui. Practic, prin utilizarea acestei vulnerabilități, orice utilizator cu intenții rău intenționate își poate acorda un privilegiu de super-utilizator, având astfel un acces complet rădăcină la dispozitivul victimei. Obținerea accesului rădăcină la dispozitivul victimei oferă atacatorului control total asupra dispozitivului și poate extrage toate datele stocate pe dispozitiv, fără ca utilizatorul să devină mai înțelept.
Ce este ZNIU și ce vacă murdară are de a face cu ea?
ZNIU este primul malware înregistrat pentru Android, care utilizează vulnerabilitatea Dirty Cow pentru a ataca dispozitive Android. Malware-ul folosește vulnerabilitatea Cow Dirty pentru a obține accesul rădăcinilor la dispozitivele victimei. În prezent, malware-ul a fost detectat pentru a se ascunde în mai mult de 1200 jocuri pentru adulți și aplicații pornografice. La momentul publicării acestui articol, mai mult de 5000 de utilizatori din 50 de țări s-au dovedit a fi afectați de aceasta.
Ce dispozitive Android sunt vulnerabile la ZNIU?
După descoperirea vulnerabilității Cow Dirty (octombrie 2016), Google a lansat un patch în decembrie 2016 pentru a remedia această problemă. Cu toate acestea, patch - ul a fost lansat pentru dispozitivele Android care rulează pe Android KitKat (4.4) sau mai sus. Potrivit divizării distribuției Android OS de către Google, mai mult de 8% dintre smartphone-urile Android se află în continuare pe versiuni mai mici ale sistemului Android. Dintre cele care rulează pe Android 4.4 și Android 6.0 (Marshmallow), numai acele dispozitive sunt sigure care au primit și au instalat patch-urile de securitate din decembrie pentru dispozitivele lor.
Aceasta este o mulțime de dispozitive Android care au potențialul de a fi exploatate. Cu toate acestea, oamenii se pot bucura de faptul că ZNIU folosește o versiune oarecum modificată a vulnerabilității Dirty Cow și, prin urmare, sa dovedit a avea succes numai împotriva acelor dispozitive Android care folosesc arhitectura ARM / X86 pe 64 de biți . Cu toate acestea, dacă sunteți proprietar de Android, ar fi mai bine să verificați dacă ați instalat sau nu versiunea de securitate din decembrie.
ZNIU: Cum funcționează?
După ce utilizatorul a descărcat o aplicație rău intenționată care a fost infectată cu malware ZNIU, atunci când lansează aplicația, malware-ul ZNIU va contacta automat și se va conecta la serverele de comandă și control (C & C) pentru a obține orice actualizare, dacă este disponibilă. Odată ce sa actualizat, va utiliza exploatația de escaladare a privilegiilor (Dirty Cow) pentru a obține accesul rădăcină la dispozitivul victimei. Odată ce are acces rădăcină la dispozitiv, acesta va recupera informațiile utilizatorului de pe dispozitiv .
În prezent, malware-ul utilizează informațiile despre utilizator pentru a contacta purtătorul de rețea al victimei, prezentându-se în calitate de utilizator însuși. Odată autentificat, va efectua micro-tranzacții bazate pe SMS și va colecta plata prin intermediul serviciului de plată al operatorului de transport. Malware-ul este suficient de inteligent pentru a șterge toate mesajele de pe dispozitiv după efectuarea tranzacțiilor. Astfel, victima nu are nicio idee despre tranzacții. În general, tranzacțiile sunt efectuate pentru sume foarte mici (3 $ / lună). Aceasta este o altă măsură de precauție luată de atacator pentru a se asigura că victima nu descoperă transferurile de fonduri.
După ce a urmărit tranzacțiile, sa constatat că banii au fost transferați către o companie dummy cu sediul în China . Deoarece tranzacțiile bazate pe operatori nu sunt autorizate să transfere bani internațional, numai acei utilizatori afectați în China vor suferi din cauza acestor tranzacții ilegale. Cu toate acestea, utilizatorii din afara Chinei vor avea încă malware-ul instalat pe dispozitivul lor, care poate fi activat oricând de la distanță, făcându-le ținte potențiale. Chiar dacă victimele internaționale nu suferă de tranzacții ilegale, backdoor-ul oferă atacatorului șansa de a injecta mai multe coduri periculoase în dispozitiv.
Cum să vă salvați de la malware ZNIU
Am scris un articol complet despre protejarea dispozitivului Android de malware, pe care îl puteți citi făcând clic aici. Lucrul de bază este să folosiți bunul simț și să nu instalați aplicațiile din surse neîncrezătoare. Chiar și în cazul malware-ului ZNIU, am văzut că malware-ul este livrat la telefonul mobil al victimei atunci când instalează aplicații pornografice sau pentru jocuri pentru adulți, care sunt făcute de dezvoltatori nescrisi. Pentru a proteja împotriva acestui malware specific, asigurați-vă că dispozitivul dvs. se află pe patch-ul de securitate curent de la Google. Explozia a fost modificată cu patch-ul de securitate din decembrie (2016) de la Google, prin urmare, oricine are instalat acest patch este sigur de malware-ul ZNIU. Totuși, în funcție de OEM, este posibil să nu fi primit actualizarea, de aceea este întotdeauna mai bine să fii conștient de toate riscurile și să iei măsurile de precauție necesare din partea ta. Din nou, tot ceea ce ar trebui și nu ar trebui să faceți pentru a salva aparatul de la a fi infectat cu un program malware este menționat în articolul care este legat mai sus.
Protejați-vă dispozitivul Android de a fi infectat de malware
Ultimii doi ani au înregistrat o creștere a atacurilor malware pe Android. Vulnerabilitatea Cow Voya a fost una dintre cele mai mari exploatații care a fost descoperită vreodată și a vedea cum ZNIU exploatează această vulnerabilitate este doar oribilă. ZNIU este deosebit de îngrijorător din cauza dimensiunii dispozitivelor pe care le are impactul și a controlului neîngrădit pe care îl acordă atacatorului. Cu toate acestea, dacă sunteți conștient de probleme și luați măsurile de precauție necesare, dispozitivul dvs. va fi în siguranță de la aceste atacuri potențial periculoase. Deci, mai întâi asigurați-vă că actualizați cele mai recente patch-uri de securitate de la Google imediat ce le obțineți și apoi păstrați-vă departe de aplicațiile, fișierele și legăturile neîncrezătoare și suspecte. Ce credeți că ar trebui să-și protejeze dispozitivul împotriva atacurilor malware. Dați-ne cunoștință despre acest subiect, lăsându-i în jos în secțiunea de comentarii de mai jos.
